Немного непонятно...04.03.05 11:11 Число просмотров: 1724 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member Отредактировано 04.03.05 11:12 Количество правок: 1
> вобщем я там теперь сам n0xi0uz . Вызвано твоими > героическими вырезаниями XXX и, видимо, проверкой > существования юзера до фильтрации из его ника символов.
что вы подразумеваете под "ХХХ"? :)
> А ты, вместо того чтобы при выводе в урле urlencode > натравить на параметры и href нормальный с кавычками > сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто > "XXX" вырезал - хотя вполне нормальный символ для имени > хехех..
я так понимаю, urlencode() - это функция в PHP, как она относится к моему Perl-скрипту? Поясните тут пожалуйста.
Насчёт качывычек, - признаю, косяк, буду перерабатывать.
Дописал форум, сейчас он находится в стадии тестирования. Но сложно самому выловить все ошибки и недочёты. Поэтому прошу ваш протестировать мой форум, который сейчас находится по адресу http://forum.npage.net.ru/ Жду ваших предложений - что убрать, что добавить, что исправить или переделать.
Заранее благодарен ;).
Дубль два.02.03.05 10:06 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Исправил указанные ошибки, добавил кое-какие улучшения.
Прошу вас протестить форум ещё раз.
Тем, кто захочет протестить модераторскую или админскую часть - просьба оставить заявку на форуме, и я повышу вам ваш уровень доступа на форуме.
Ещё раз спасибо ;).
Дубль два хехехе - XSS в имени юзера02.03.05 14:16 Автор: paganoid Статус: Member
> Исправил указанные ошибки, добавил кое-какие улучшения. > Прошу вас протестить форум ещё раз. > Тем, кто захочет протестить модераторскую или админскую > часть - просьба оставить заявку на форуме, и я повышу вам > ваш уровень доступа на форуме. > Ещё раз спасибо ;).
См. список пользователей, поводи по урлам мышой.
Не урленкодить урлы - страшный моветон хихи.
Исправил. Вроде бы...04.03.05 09:40 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
Проверьте ещё раз, плз.
А есть ли какая-нибудь литература по безопасному cgi-программированию?
Какие символы в переменных надо фильтровать? (или лучше обратиться с этим вопросом в другой раздел?)
новые дыры...04.03.05 10:35 Автор: paganoid Статус: Member Отредактировано 04.03.05 10:58 Количество правок: 2
> Проверьте ещё раз, плз. > А есть ли какая-нибудь литература по безопасному > cgi-программированию? > Какие символы в переменных надо фильтровать? (или лучше > обратиться с этим вопросом в другой раздел?)
вобщем я там теперь сам n0xi0uz . Вызвано твоими героическими вырезаниями XXX и, видимо, проверкой существования юзера до фильтрации из его ника символов.
Кроме того, есть крепкие подозрения насчет последовательности <>, похоже там ваще записи поехали.
вообще по жизни надо не РЕЗАТЬ, а ЭСКЕЙПИТЬ, причем и по мере вывода тоже, а не только
на фазе сохранения.
Т.е. ЕЖЕЛИ
все, что кладется в базу, окружать '' и эскейпить ' И
во все что кладется в базу-текстфайл вырезать разделитель (или эскейпить, хотя редко на
этой фазе самосознания вообще что либо эскейпят ) И
во всем , что печатается в страницу, заменять html спецсимволы И
во все, что печатается в урлу, делать urlencode и окружать "" И
во всем, что печатается в куки и хедеры, вырезать перевод кареты, И
во всем, что фигуряет в названиях файлов и системных комманд,
вырезать коммандные спецсимволы (на крайняк оставлять только английские буквы) И
если есть какие-та самописные конфиги, там уже надо по формату смотреть, разумеется. Вероятно надо резать переводы кареты.
ТО
жизнь сайта станет гораздо легче, но скушнее.
А ЕСЛИ
не выполняется хотя бы один пункт, жизнь сайта станет тяжелее, но интереснее ;)
А ты, вместо того чтобы при выводе в урле urlencode натравить на параметры и href нормальный с кавычками сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто "XXX" вырезал - хотя вполне нормальный символ для имени хехех..
Немного непонятно...04.03.05 11:11 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member Отредактировано 04.03.05 11:12 Количество правок: 1
> вобщем я там теперь сам n0xi0uz . Вызвано твоими > героическими вырезаниями XXX и, видимо, проверкой > существования юзера до фильтрации из его ника символов.
что вы подразумеваете под "ХХХ"? :)
> А ты, вместо того чтобы при выводе в урле urlencode > натравить на параметры и href нормальный с кавычками > сделать (да, да, ВЕЗДЕ на форуме, ломает, но...), просто > "XXX" вырезал - хотя вполне нормальный символ для имени > хехех..
я так понимаю, urlencode() - это функция в PHP, как она относится к моему Perl-скрипту? Поясните тут пожалуйста.
Насчёт качывычек, - признаю, косяк, буду перерабатывать.
подразумеваю символ = , который не назвал своим именем, дабы...04.03.05 11:16 Автор: paganoid Статус: Member
> > вобщем я там теперь сам n0xi0uz . Вызвано твоими > > героическими вырезаниями XXX и, видимо, проверкой > > существования юзера до фильтрации из его ника > символов. > что вы подразумеваете под "ХХХ"? :)
подразумеваю символ = , который не назвал своим именем, дабы каждый кому не лень, как я
не стал n0xi0uz'ом ;)
> я так понимаю, urlencode() - это функция в PHP, как она > относится к моему Perl-скрипту? Поясните тут пожалуйста.
Это общий метод кодирования спецсимволов в URL RFC1738. Наверняка
имеется такая ф-я и в пёрле, не может не быть.
Ясненько.04.03.05 11:31 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member
> > > вобщем я там теперь сам n0xi0uz . Вызвано твоими > > > героическими вырезаниями XXX и, видимо, > проверкой > > > существования юзера до фильтрации из его ника > > символов. > > что вы подразумеваете под "ХХХ"? :) > > подразумеваю символ = , который не назвал своим именем, > дабы каждый кому не лень, как я > не стал n0xi0uz'ом ;)
Это вроде исправил, - теперь проверка существования юзера происходит после фильтрации переменной, содержащей его логин.
> > я так понимаю, urlencode() - это функция в PHP, как > она > > относится к моему Perl-скрипту? Поясните тут > пожалуйста. > > Это общий метод кодирования спецсимволов в URL RFC1738. > Наверняка > имеется такая ф-я и в пёрле, не может не быть.
Да, гугль мне помог, - функция, действительно есть. Так что скоро и ссылки поправлю.
Спасибо за помощь! ;) Ещё есть замечания?
замечания..04.03.05 16:08 Автор: paganoid Статус: Member
Ну еще имеет место быть посылка сообщений от чужого имени ( {input type=hidden name=uname value=test1>}меняешь и ура), XSS там же , лечение - не использовать hidden поля.
javascript ссылки в "адрес сайта", лечение - разбор урлы, отсечение схем кроме http
опечаточка "Колчество сообщений" в кабинете..
Исправления...09.03.05 02:45 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member Отредактировано 09.03.05 02:46 Количество правок: 1
> > Спасибо за помощь! ;) Ещё есть замечания? > > скоро совсем тебе там все развалю хыхы
Только рад буду :). Честно, - чем больше ошибок Вы находите, тем для форума лучше ;).
> Ну еще имеет место быть посылка сообщений от чужого имени ( > {input type=hidden name=uname value=test1>}меняешь и > ура), XSS там же , лечение - не использовать hidden поля.
Исправил.
> javascript ссылки в "адрес сайта", лечение - разбор урлы, > отсечение схем кроме http
Чего не надо допускать в ссылке, чтобы обезопасить её от javascript?
> опечаточка "Колчество сообщений" в кабинете..
Исправил ;).
Ещё раз спасибо за помощь! ;)
Ошибки...09.03.05 10:47 Автор: paganoid Статус: Member
> > > Спасибо за помощь! ;) Ещё есть замечания? > > > > скоро совсем тебе там все развалю хыхы > Только рад буду :). Честно, - чем больше ошибок Вы > находите, тем для форума лучше ;).
мне, конечно, лестно что ты меня прям так на "Вы", но не настолько
уж я и нагадил, чтоб от меня такую дистанцию держать ;))
> > > Ну еще имеет место быть посылка сообщений от чужого > имени ( > > {input type=hidden name=uname value=test1>}меняешь > и > > ура), XSS там же , лечение - не использовать hidden > поля. > > Исправил.
Зер гуд
> > > javascript ссылки в "адрес сайта", лечение - разбор > урлы, > > отсечение схем кроме http > > Чего не надо допускать в ссылке, чтобы обезопасить её от > javascript?
давать начинаться только с http:// и урленкодить урленкодить урленкодить урленкодить урленкодить урленкодить
> > > опечаточка "Колчество сообщений" в кабинете.. > > Исправил ;). > Ещё раз спасибо за помощь! ;)
Далее ошибки..
когда выводятся значения полей внутрь input value="" , не ескейпятся html символы. Т.ч ввести имя к примеру в личном кабинете >>Василий "бронебойный"<< не удается. Т.е. удается, но все имя не показывается.
Далее. Urlencode ты по прежнему игнорируешь, со всеми вытекающими. К примеру, завел я узера n0xi0uzz"boom , тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Когда выводятся данные по пользователю, нет урленкода, т.ч. там тож разгул XSS
Он же, урленкод..
имя пользователя test" disabled " - и данные юзера нельзя просмотреть, ибо ссылка задизяблена..
Далее - спуф админского имени - заводишь юзера "n0xi0uzz " (без кавычек) и получается похожий чел.
Юзер с пустым именем (вводишь = и поехали)..
Исправления...09.03.05 14:25 Автор: n0xi0uzz <Черкасов Виктор> Статус: Member Отредактировано 09.03.05 14:28 Количество правок: 1
> > мне, конечно, лестно что ты меня прям так на "Вы", но не > настолько > уж я и нагадил, чтоб от меня такую дистанцию держать ;))
OK, перехожу на "ты" ;).
> > > javascript ссылки в "адрес сайта", лечение - > разбор > > урлы, > > > отсечение схем кроме http > > > > Чего не надо допускать в ссылке, чтобы обезопасить её > от > > javascript? > > давать начинаться только с http:// и урленкодить > урленкодить урленкодить урленкодить урленкодить урленкодить >
Исправлено.
> > Далее ошибки.. > > когда выводятся значения полей внутрь input value="" , не > ескейпятся html символы. Т.ч ввести имя к примеру в личном > кабинете >>Василий "бронебойный"<< не удается. > Т.е. удается, но все имя не показывается.
"не ескейпятся"="не убираются"? Или как? :) Поясни, пожалуйста тут, а то непонятно, что нужно делать, чтобы исправить ;).
> Далее. Urlencode ты по прежнему игнорируешь, со всеми > вытекающими. К примеру, завел я узера n0xi0uzz"boom , > тыкаешь на него и попадаешь в страницу с ТВОИМИ данными.
Исправлено.
> Когда выводятся данные по пользователю, нет урленкода, т.ч. > там тож разгул XSS
Исправлено.
> Он же, урленкод.. > имя пользователя test" disabled " - и данные юзера > нельзя просмотреть, ибо ссылка задизяблена..
Исправлено
> Далее - спуф админского имени - заводишь юзера "n0xi0uzz " > (без кавычек) и получается похожий чел.
А нужно ли запрещать ники, похожие на админские? ;)
> Юзер с пустым именем (вводишь = и поехали).. > Исправлено.
Долго мучался с urlencode, исправляя все ссылки :).
Кстати, саму функцию пришлось самому писать, вот она:
sub urlencode {
my $URLencode=shift;
$URLencode=~s/([^0-9A-Za-z_ ])/'%'.unpack('H2',$1)/ge;
$URLencode=~s/\s/+/g;
return $URLencode;
}
---
Спасибо за помощь ;).
XSS в email и url - не фильтруются " со всеми вытекающими21.02.05 18:33 Автор: paganoid Статус: Member
Буду, но попозже. Или сделаю их в стиле phpBB (типа, [b], [i] и т.п.)... Сейчас пока форум прикрыл, пока не исправлю уже найденные ошибки, потом снова открою. Спасибо за помощь! ;)
при регистрации, но допускаю, что и при изменении тоже. Фильтровать надо при любом сохранении, т.ч. без разницы.22.02.05 10:35 Автор: paganoid Статус: Member Отредактировано 22.02.05 10:40 Количество правок: 1
Запостил тему, и сам себе поотвечал на неё, и вот сейчас вылетел с "интернал сервер еггог" ;-) Больше зайти не могу...21.02.05 10:43 Автор: HandleX <Александр М.> Статус: The Elderman
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
